O que são entradas interativas do usuário no Microsoft Entra?
O monitoramento e a integridade do Microsoft Entra fornecem vários tipos de logs de entradas para ajudar a monitorar a integridade do locatário. As entradas interativas do usuário são o modo de exibição padrão no centro de administração do Microsoft Entra.
O que são entradas interativas do usuário?
As entradas interativas são executadas por um usuário. Eles fornecem um fator de autenticação para o Microsoft Entra ID. Esse fator de autenticação também pode interagir com um aplicativo auxiliar, como o aplicativo Microsoft Authenticator. Os usuários podem fornecer senhas, respostas a desafios de MFA, fatores biométricos ou códigos QR ao Microsoft Entra ID ou a um aplicativo auxiliar. Esse log também inclui entradas federadas de provedores de identidade que são federados ao Microsoft Entra ID.
Detalhes do log
Tamanho do relatório: pequeno
Exemplos:
- Um usuário fornece nome de usuário e senha na tela de entrada do Microsoft Entra.
- Um usuário passa por uma verificação via SMS de um MFA.
- Um usuário faz um gesto biométrico para desbloquear seu computador Windows com o Windows Hello para Empresas.
- Um usuário é federado ao Microsoft Entra ID com uma declaração SAML AD FS.
Além dos campos padrão, o log de entrada interativa também mostra:
- O local da entrada
- Se o acesso condicional foi aplicado
Observação
As entradas nos logs de entrada são geradas pelo sistema e não podem ser alteradas ou excluídas.
Considerações especiais
Entradas não interativas nos logs de entrada interativos
Anteriormente, algumas entradas não interativas de clientes do Microsoft Exchange eram incluídas no log interativo de entrada do usuário para obter uma melhor visibilidade. Essa visibilidade aumentada era necessária antes que os logs de entrada de usuário não interativos fossem introduzidos em novembro de 2020. Porém, é importante observar que alguns inícios de sessão não interativos, como os que usam chaves FIDO2, ainda podem ser marcados como interativos devido à maneira como o sistema foi configurado antes da introdução de logs não interativos separados. Esses inícios de sessão podem exibir detalhes interativos, como o tipo de credencial do cliente e as informações do navegador, mesmo que sejam tecnicamente inícios de sessão não interativos.
Entradas de passagem
O Microsoft Entra ID emite tokens para autenticação e autorização. Em algumas situações, um usuário que está conectado ao locatário da Contoso pode tentar acessar recursos no locatário da Fabrikam, aos quais não tem acesso. Um token sem autorização, chamado token de passagem, é emitido para o locatário da Fabrikam. O token de passagem não permite que o usuário acesse nenhum recurso.
Anteriormente, ao revisar os logs para essa situação, os logs de início de sessão do locatário inicial (neste cenário, Contoso) não mostraram uma tentativa de início de sessão porque o token não estava concedendo acesso a um recurso com reclamações. O token de entrada só foi usado para exibir a mensagem de falha apropriada.
As tentativas de entrada de passagem agora aparecem nos logs de entrada do locatário inicial e nos logs de entrada de restrição de locatário relevantes. Essa atualização fornece mais visibilidade sobre as tentativas de entrada do usuário de seus usuários e insights mais profundos sobre suas políticas de restrição de locatário.
A propriedade crossTenantAccessType
agora mostra passthrough
para diferenciar as entradas de passagem e está disponível no Centro de administração do Microsoft Entra e no Microsoft Graph.
Entradas de entidade de serviço somente de aplicativo, first-party
Os logs de entrada da entidade de serviço não incluem atividades de entrada somente de aplicativo, first-party. Esse tipo de atividade ocorre quando aplicativos first-party obtêm tokens para um trabalho interno da Microsoft em que não há direção ou contexto de um usuário. Excluímos esses logs para que você não pague por logs relacionados a tokens internos da Microsoft em seu locatário.
Você pode identificar eventos do Microsoft Graph que não se correlacionam com um início de sessão de entidade de serviço se você estiver roteando MicrosoftGraphActivityLogs
com SignInLogs
para o mesmo workspace do Log Analytics. Essa integração permite que você faça referência cruzada entre o token emitido para a chamada à API do Microsoft Graph e a atividade de entrada. O UniqueTokenIdentifier
para logs de entrada e os SignInActivityId
nos logs de atividades do Microsoft Graph estariam ausentes dos logs de entrada da entidade de serviço.
Acesso Condicional
Os logins que mostram Não aplicado para Acesso Condicional podem ser difíceis de interpretar. Se o login for interrompido, ele aparecerá nos logs, mas mostrará Não aplicado para Acesso Condicional. Outro cenário comum é entrar no Windows Hello para Empresas. Esse login não tem Acesso Condicional aplicado porque o usuário está entrando no dispositivo, não em recursos de nuvem protegidos pelo Acesso Condicional.